По некоторым причинам мы перенаправляем события системного журнала из RHEL 6 (с помощью rsyslog) в RHEL 5 (с помощью syslogd).
В RHEL 6 в rsyslog.conf:
*.* @10.30.46.211
В RHEL 5 в / etc / sysconfig / syslog:
SYSLOGD_OPTIONS="-r -m 0"
В RHEL 6 событие выглядит так (/ var / log / secure):
25 октября 02:10:03 rh6q32 sshd [1849]: pam_unix (sshd: session): сеанс закрыт для пользователя root
В RHEL 5 то же событие выглядит так (/ var / log / secure):
25 октября 02:10:03 rh6q32 rh6q32 sshd [1849]: pam_unix (sshd: session): сеанс закрыт для пользователя root
Разница заключается в двойном использовании имени хоста (rh6q32).
Вопрос: можно ли избавиться от двойного имени хоста?
Спасибо Юрий
разница в том, что, по-видимому, 6 использует rsyslog для подделки старого системного журнала. Вы можете настроить rsyslog с помощью шаблонов:
$template sysklogd,"<%PRI%>%TIMESTAMP% %syslogtag%%msg%"
*.* @192.168.1.1;sysklogd
из kkoncepts.net
Системный журнал RHEL5 не отправляет «правильный» заголовок в соответствии с RFC3164 (ура норм). В пакете системного журнала должно быть имя хоста. rhel5.x syslogd добавляет исходный хост к входящему трафику системного журнала.
Как кто-то еще сказал, rsyslog был добавлен в RHEL 6.x, который соответствует RFC3164. Привет, ваш syslogd заканчивает тем, что добавляет уже существующее поле хоста.